在澳洲一些大公司和政府机构出售的未经清理的IT设备上,都发现了医疗和信用卡详细信息等个人信息,以及国家基础设施的密钥。
电子垃圾被称为“拼图中缺失的关键一块”,但电子垃圾可能会对澳人的隐私和国家安全构成隐患,因为经常会在出售的二手设备上发现个人信息和公司信息。
网络卫生公司WV Technologies的创始董事Kurt Gruber表示,二手设备上发现的东西“比你想象的更糟糕”。该公司业务包括从网上卖家和拍卖行购买和转售二手设备。
他说:“即使是最高级别的政府机构,也在丢弃完全没有清理的设备。”
“我们曾在一家拍卖行找到了一个国家关键基础设施的网络密钥。我们清除了其中的数据,包括个人详细信息,政府、企业员工和客户的完整医疗记录等。”这些数据包括病人处于麻醉状态的私密手术图像。
WV Technologies还发现了完整的Excel电子表格,其中包括大型零售商客户的姓名、地址、手机号码和信用卡详细信息,以及一家公司数十家商店的警报代码。
“这是不合常理的事情,不可能只发生一次。我们现在已经习惯了。”
(图片来源:澳洲新闻集团)
咨询机构PwC和WV Technologies联合进行的一项研究发现,在对二手设备进行实验时,由于电子垃圾的不正确处理,数据泄露的风险很大。
PwC从首都领地一家二手零售商那里以不到50澳元的价格购买了一部手机和平板电脑,试图看看能回收什么。
报告作者Rob Di Pietro称这一结果“令人震惊”。他们能够从手机中检索65条个人身份信息(PII),而仍贴着公司贴纸的平板电脑上包含一个访问数据库的凭证,可以访问2000万条敏感的PII记录。
Di Pietro说:“这个问题比我们今天意识到的要严重得多,也比最近人们真正关注的要严重得多。我们很震惊,有人会把数据放在这些设备上。”
Kurt Gruber(图片来源:澳洲新闻集团)
澳洲的机构和个人每年处理数千吨电子垃圾,这一数字正在迅速增长,到2030年,全球电子垃圾总量将超过每年7000万吨。
PwC的报告发现,在澳洲和新西兰每年产生的65万吨电子垃圾中,只有约10%被正式收集,而不是扔进垃圾桶。
WV Technology估计,每250个落入他们手中的硬盘中,就有一个没有正确清除,Gruber认为这是网络犯罪的原因之一。
他说:“你经常会受到随机的勒索软件攻击,甚至只是收到网络钓鱼邮件,而他们恰好对你有所了解,这通常很奇怪。不恰当的处置和他人从何处获得你的信息之间没有办法建立联系,但它必须是一个促成因素。”
Di Pietro对此表示赞同,他说网络攻击“很有可能”是利用二手设备上发现的数据进行的,因为犯罪分子会选择“阻力最小”的路径来实施攻击。
“如果他们在网上花20-30澳元就能做到,就不会去费劲侵入系统窃取身份信息。一想到其他有动机的网络犯罪团伙在做什么,我就担心,他们可能会去寻找闲置或在eBay或Gumtree上出售的二手设备。”
(图片来源:澳洲新闻集团)
Gruber还表示,重要的是要考虑到外国势力正从澳洲进口二手硬盘。他们可以以几澳分的价格制造硬盘驱动器,外国购买的二手驱动器数量很有意思。”
Gruber表示,对安全处理IT设备的重视不够,部分原因是公司成本。
“前期投入巨额成本用于网络保护,然后让人有可乘之机翻遍垃圾箱或在线网站,找到你一开始想要保护的东西,这没有意义。公司赚了一大笔钱,但不愿意在最后支付20澳元来处理硬盘驱动器,这令人沮丧。”
联邦政府目前正在修订国家的网络安全法和隐私法,以应对Optus和Medibank的网络攻击。
Rob Di Pietro(图片来源:澳洲新闻集团)
Di Pietro表示,联邦政府现在有一个“机会”,将更明确的电子垃圾处理义务纳入网络监管的一部分。他表示,为了保障澳人的安全,“需要做更多的工作”。
“我们一直更关注网络意义上的电子安全,这也是去年数据泄露非常关注的地方,但我们需要看到优先事项的转变,以平等对待线下意义上的数字痕迹。而且是在那些不再需要的设备上,这就是我们认为立法被忽视的地方。”
Gruber敦促正处理旧设备的企业避免在内部进行,而是寻找拥有NAID AAA认证的数据销毁公司,这意味着该认证是政府认可的最高机密级别的数据销毁。
“他们通常不明白妥善处理一件退役设备有多复杂。”这个问题超出了硬盘驱动器的处理范围,连接公司网络的更复杂的IT设备通常包含最多的数据。
他说:“对于硬盘驱动器,每个人都感到毛骨悚然,因为你可以亲眼看到威胁,但大部分最复杂的东西都没有受到影响。他们不明白,如今很多芯片上都有数据,而不仅仅是硬盘上。”
发表于 2023-3-29 17:00:14
支持
反对
